GWの休み明け最初の今回は4月の時事ネタについてです。

www.atmarkit.co.jp

www.youtube.com

2つの話題について取り上げてみました。

今回は専門用語解説シリーズの第2弾ということで APT (Advanced Persistent Threat) について取り上げました。

www.atmarkit.co.jp

www.youtube.com

動画の中でも触れてますが、過去にブログ等で何度か APTについて書いているので紹介しておきます。

• Advanced Persistent Threat (APT)とは何か (Part 1) - セキュリティは楽しいかね？
• APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ！ - セキュリティは楽しいかね？
• Comment Groupのこれまでの活動 - セキュリティは楽しいかね？ Part 2
• APT1レポートに関するまとめ？ - セキュリティは楽しいかね？ Part 2
• レポートの「オモテ」と「ウラ」を読み込む：再考・APT〜Mandiantレポートを基に〜 (1/4) - ＠IT

また NISC, IPA, JPCERT/CCなどから出されている資料も非常に参考になります。それぞれ APTについてどう説明しているかもあわせて紹介します。

「高度サイバー攻撃対処のためのリスク評価等のガイドライン」について (NISC, 2014年7月)
この文書では「高度サイバー攻撃」という用語を「政府機関においては、標的型攻撃その他の組織的・持続的な意図をもって外部から行われる情報の窃取・破壊等の攻撃」と説明しています。

「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開：IPA 独立行政法人 情報処理推進機構 (IPA, 2014年9月)
この文書では「高度標的型攻撃」という用語を「特別な攻撃意図および計画性をもって、標的とする組織の情報システム内部に深く継続的に侵入し、国家や企業規模を問わず、機微情報や知財情報等の窃取を目的に、基幹業務システムや社会インフラシステムの破壊の恐れがある、他の標的型攻撃とは一線を画す特別な攻撃である」と説明しています。

高度サイバー攻撃(APT)への備えと対応ガイド～企業や組織に薦める一連のプロセスについて (JPCERT/CC, 2016年3月)
この文書では「高度サイバー攻撃 (APT)」という用語を「ある脅威が APT(先進的で執拗な脅威)とみなされるためには、攻撃者が戦略的かつ組織的に攻撃活動を行い、標的とする特定の企業や組織に対し執拗に関心を持ち続けるということが条件となる」と説明しています。

あと最後の方で触れた「標的型」と「ばらまき型」という言葉については、警察庁の発表資料とこれらの用語について説明している記事を紹介しておきます。

• 平成27年におけるサイバー空間をめぐる脅威の情勢について｜警察庁
• 辻伸弘の裏読みセキュリティ事件簿 - ウイルスが届いても慌てない、「ばらまき型」と「標的型」は違う：ITpro
• 記者の眼 - 分かりにくいよセキュリティ用語、ばらまき型で標的型って何？：ITpro

みなさんからの質問やコメントなどハッシュタグ #セキュリティのアレでお待ちしてます！

今週は月に1度の時事ネタ特集号です。

www.atmarkit.co.jp

www.youtube.com

今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。

えーっと、すいません、忘れてましたw
というわけで先週はパスワード管理ソフトの話題を取り上げてみました。

www.atmarkit.co.jp

www.youtube.com

基本的な仕組みはこんな感じです。

• 各種WebサービスのIDとパスワードを AESなどで暗号化して保存する
• 暗号化の鍵はマスターパスワードから PBKDF2などの鍵導出関数で生成する
• 鍵導出ではソルトとストレッチングによりオフラインでのパスワード解読を困難にする
• 暗号化されたデータはクラウド上に保存するか(クラウド型)、または PCやスマホなどの手元の端末に保存して管理する(ローカル型)
• 利用する時にはマスターパスワードを入力してデータを復号する (覚える必要があるのはマスターパスワードだけ)
• クラウド型ではまずはじめにユーザ認証を行い、成功したら暗号化されたデータをダウンロードして、復号は手元の端末側で行う(つまりマスターパスワードそのものを送信することはなく、データをサーバ側で復号することもない)*1

利用するにあたっていくつか注意すべき点もあります。